アカウント名:
パスワード:
情報だけだと偽造しないかぎり、ネット通販とかなんだろうけど、裏側のセキュリティコード無しで買える手段はそんなに無いと思うので、どうやったのかしら。
それとも、セキュリティーコードまでスキャンかなにかして保管してたのかな?もしそうなら、警察のワークフローを見直さないといつかまた再発するだろうね。
拾得物横領事件の捜査参考物件ならカードの両面ともコピーするでしょ。署名とか確認する必要がでてくる可能性があるし。
ワークフローというか、落として現金を抜かれた状態で戻ってきた財布に残っていたカード類なら、全て無効にして新しい番号で再発行して貰うよう落とし主に助言するべきですね。
そうですね。ただ、後で情報を求めるのが大変だから「とりあえず保持する」ってのが今時はリスクにしか見えなくて。今回は、あくまで限られた立場の人間が悪用しただけであって、データ流出事故じゃよかったなと。
私は、相手から入手する情報は「何が必要な情報かを確認し、不要情報は取得しない」という慎重さが必要と考えています。これは別に本件限らず、Webフォームやら、広告とかも含めた他人からデータ収集する際の心構え的な物です。セキュリティコードなしに悪用されたとか、署名が被っていて隠せなかった可能性もありますが、悪用する際に必要な情報が無ければ悪用は起きない訳で。
部外者の勝手な憶測なので、きちっとしたセキュリティが組まれていたけどすり抜けたのかもしれませんが、もしセキュリティコードを何も考えずに撮影やスキャンしているようなワークフローなら、今後も、電子マネー(au WALLETとか [webmoney.jp])から着服とか同様の被害が起き得ると考えていますし、マイナンバーカードも何も考えずにスキャン&保管(一応本件はセーフ? [e-gov.go.jp])してそうで、流出/悪用もありえそうだよねと。
さて、捜査資料は、どの程度のセキュリティレベルで記録・保管・管理しているんでしょうね。少なくとも部署内の人間に閲覧権限が有る事は間違いないみたいですが、組織(やCISO)はリスクをどの程度に見積もりしてるのかしら。
手間と時間は掛かりますがその通りですね。
ネット通販のクレジット決済でセキュリティコードを間違えても決済できるという話https://security.srad.jp/story/18/12/20/0838221/ [security.srad.jp]
イヤホンとか購入とかあるので、ヨドバシでカードプリカ購入かなという気はほんのりありましたが、実際どうなのか気になります。自分もセキュリティコード間違えても買えた経験あるもので。
セキュリティコードなしでも総額17万円以上も買える物なのですかね。もうちょっとシステム見直してほしい気もする。
間違える以前にAmazon.co.jpはセキュリティコード不要だった気がする。
AMEXは表面にセキュリティコードが記載されるアホ仕様ですので不正利用が多いです
AMEXに限らず、大抵のカードは裏にセキュリティコードを記載している。
ヒョウメンではなく、オモテメンだと思います。
AMEXに限っては、裏にセキュリティコードを記載していません。
表のカード番号の右側に記載してるので、写真でもスキャンでも片面一発でOK。
カードからの情報ではなく利用企業側から提出された証拠にセキュリティコードが記載されていた可能性もあるかと思われます規約でセキュリティコードの保存は禁止されているとは言いつつも保存していたりログに残っている事は多いので・・・この場合改善するとなると証拠提出時にマスクしてもらうとかですかね
利用についてはセキュリティコードが無くとも何とかなる場合もいまだにありますね過去に利用したことがあるオンライン決済代行サービスだと「項目があり全項目必須だが、カード番号と有効期限しか見ていない」「セキュリティコードが空文字でも可」てのは経験しました後者は流石に不正利用時は全額チャージバックと規約に書かれていましたが
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
どうやって買ったの? (スコア:1)
情報だけだと偽造しないかぎり、ネット通販とかなんだろうけど、
裏側のセキュリティコード無しで買える手段はそんなに無いと思うので、どうやったのかしら。
それとも、セキュリティーコードまでスキャンかなにかして保管してたのかな?
もしそうなら、警察のワークフローを見直さないといつかまた再発するだろうね。
Re:どうやって買ったの? (スコア:2, すばらしい洞察)
拾得物横領事件の捜査参考物件ならカードの両面ともコピーするでしょ。署名とか確認する必要がでてくる可能性があるし。
ワークフローというか、落として現金を抜かれた状態で戻ってきた財布に残っていたカード類なら、全て無効にして新しい番号で再発行して貰うよう落とし主に助言するべきですね。
Re:どうやって買ったの? (スコア:1)
拾得物横領事件の捜査参考物件ならカードの両面ともコピーするでしょ。署名とか確認する必要がでてくる可能性があるし。
そうですね。
ただ、後で情報を求めるのが大変だから「とりあえず保持する」ってのが今時はリスクにしか見えなくて。
今回は、あくまで限られた立場の人間が悪用しただけであって、データ流出事故じゃよかったなと。
私は、相手から入手する情報は「何が必要な情報かを確認し、不要情報は取得しない」という慎重さが必要と考えています。
これは別に本件限らず、Webフォームやら、広告とかも含めた他人からデータ収集する際の心構え的な物です。
セキュリティコードなしに悪用されたとか、署名が被っていて隠せなかった可能性もありますが、悪用する際に必要な情報が無ければ悪用は起きない訳で。
部外者の勝手な憶測なので、きちっとしたセキュリティが組まれていたけどすり抜けたのかもしれませんが、
もしセキュリティコードを何も考えずに撮影やスキャンしているようなワークフローなら、
今後も、電子マネー(au WALLETとか [webmoney.jp])から着服とか同様の被害が起き得ると考えていますし、
マイナンバーカードも何も考えずにスキャン&保管(一応本件はセーフ? [e-gov.go.jp])してそうで、流出/悪用もありえそうだよねと。
さて、捜査資料は、どの程度のセキュリティレベルで記録・保管・管理しているんでしょうね。
少なくとも部署内の人間に閲覧権限が有る事は間違いないみたいですが、組織(やCISO)はリスクをどの程度に見積もりしてるのかしら。
ワークフローというか、落として現金を抜かれた状態で戻ってきた財布に残っていたカード類なら、全て無効にして新しい番号で再発行して貰うよう落とし主に助言するべきですね。
手間と時間は掛かりますがその通りですね。
Re: (スコア:0)
ネット通販のクレジット決済でセキュリティコードを間違えても決済できるという話
https://security.srad.jp/story/18/12/20/0838221/ [security.srad.jp]
Re:どうやって買ったの? (スコア:1)
イヤホンとか購入とかあるので、ヨドバシでカードプリカ購入かなという気はほんのりありましたが、実際どうなのか気になります。
自分もセキュリティコード間違えても買えた経験あるもので。
セキュリティコードなしでも総額17万円以上も買える物なのですかね。
もうちょっとシステム見直してほしい気もする。
Re: (スコア:0)
間違える以前にAmazon.co.jpはセキュリティコード不要だった気がする。
Re: (スコア:0)
AMEXは表面にセキュリティコードが記載されるアホ仕様ですので不正利用が多いです
Re: (スコア:0)
AMEXに限らず、大抵のカードは裏にセキュリティコードを記載している。
Re: (スコア:0)
ヒョウメンではなく、オモテメンだと思います。
Re: (スコア:0)
AMEXに限っては、裏にセキュリティコードを記載していません。
表のカード番号の右側に記載してるので、写真でもスキャンでも片面一発でOK。
Re: (スコア:0)
カードからの情報ではなく利用企業側から提出された証拠にセキュリティコードが記載されていた可能性もあるかと思われます
規約でセキュリティコードの保存は禁止されているとは言いつつも保存していたりログに残っている事は多いので・・・
この場合改善するとなると証拠提出時にマスクしてもらうとかですかね
利用についてはセキュリティコードが無くとも何とかなる場合もいまだにありますね
過去に利用したことがあるオンライン決済代行サービスだと「項目があり全項目必須だが、カード番号と有効期限しか見ていない」「セキュリティコードが空文字でも可」てのは経験しました
後者は流石に不正利用時は全額チャージバックと規約に書かれていましたが